VENOMOUS#HELPER フィッシングキャンペーン
VENOMOUS#HELPERと呼ばれる高度なフィッシング攻撃キャンペーンが、少なくとも2025年4月から活動しており、正規のリモート監視・管理(RMM)ツールを悪用して複数の攻撃経路を標的にしています。主に米国を中心に80以上の組織が被害を受けています。この活動は、以前に報告されたSTAC6405として知られるクラスターと重複しています。攻撃者の特定は依然として困難ですが、その活動パターンは、金銭目的の初期アクセスブローカー(IAB)や、後々の悪用のための足がかりを築こうとするランサムウェアの前身グループと強く一致しています。
目次
信頼できるツールに頼る:正規のRMMソフトウェアの悪用
攻撃者は、露骨に悪意のあるソフトウェアを展開するのではなく、SimpleHelpやConnectWise ScreenConnectといった正規ツールのカスタマイズ版を利用する。これらのアプリケーションは企業環境で広く使われているため、従来のセキュリティ対策を回避し、疑念を抱かれることを避けることができる。
両ツールを同時に展開するのは意図的な戦術である。攻撃者は二重のリモートアクセスチャネルを確立することで、運用上の回復力を確保している。一方の接続が検知され無効化されても、もう一方のチャネルはアクティブなままであり、中断することなく不正アクセスを継続できる。
フィッシングの侵入ポイント:信頼できる人物を装ったソーシャルエンジニアリング
攻撃の連鎖は、米国社会保障庁(SSA)を装った巧妙に作成されたフィッシングメールから始まる。このメールは、受信者に対し、メールアドレスを確認し、埋め込まれたリンクから偽のSSAの明細書をダウンロードするよう促す。
特筆すべきは、このリンクが被害者を正規のメキシコ企業のウェブサイト(ただし不正アクセスを受けている)に誘導する点であり、スパムフィルターや評判に基づく防御を意図的に回避しようとする意図的な試みを示している。そこから被害者は、攻撃者が管理する別のドメインにリダイレクトされ、そこで正規の文書を装った悪意のあるペイロードがホストされている。
ペイロードの配信と持続性:長期アクセスを実現するエンジニアリング
ダウンロードされると、Windows実行ファイルとしてパッケージ化されたペイロードが、SimpleHelp RMMツールのインストールを開始します。攻撃者は、悪意のあるファイルを仕込むために、ホスティングサーバー上のcPanelアカウントを侵害したと考えられています。
実行後、マルウェアはいくつかのメカニズムを通じて永続性と回復力を確立します。
- セーフモードでの永続化機能を備えたWindowsサービスとしてのインストール
- サービスが終了した場合に自動的に再起動する自己修復型監視システムの導入
- ルート\SecurityCenter2 WMI名前空間を介して、インストールされているセキュリティ製品を67秒ごとに定期的に列挙します。
これらの技術により、悪意のある存在は活動的で適応性が高く、根絶が困難な状態を維持する。
特権昇格とシステム全体の制御
侵害されたシステムを完全にインタラクティブに制御するために、SimpleHelpクライアントはAdjustTokenPrivilegesを介してSeDebugPrivilegeを取得することで権限を昇格させます。さらに、ソフトウェアの正規コンポーネントである「elev_win.exe」を利用してSYSTEMレベルのアクセス権を取得します。
この特権レベルの向上により、攻撃者は以下のことが可能になります。
- 画面アクティビティを監視してキャプチャします
- リアルタイムでキー入力を注入する
- ユーザーのコンテキスト内で機密リソースにアクセスする
このような機能により、従来のセキュリティアラートを発動させることなく、被害者の環境を完全に制御することが可能になる。
冗長アクセス戦略:フォールバックチャネルとしてのScreenConnect
攻撃者は、主要なアクセスチャネルが確立された後、二次的なリモートアクセスメカニズムとしてConnectWise ScreenConnectを展開します。これにより、最初のSimpleHelp接続が特定されブロックされた場合でも、接続が維持されます。
複数の正規ツールを使用することは、耐久性と隠蔽性を重視した多層的なアクセス戦略を浮き彫りにし、検出やインシデント対応を困難にする。
運用上の影響:レーダーに隠れた静かな制御
導入済みのSimpleHelpバージョン(5.0.1)は、強力なリモート管理機能を備えています。攻撃者は、いったんシステム環境に組み込まれると、自由かつ巧妙に操作できるようになります。攻撃者はいつでもシステムに再侵入できるため、侵害された組織は継続的な攻撃にさらされることになります。
この環境は事実上、攻撃者が密かにコマンドを実行したり、双方向でファイルを転送したり、ネットワーク内を横断的に移動したりできる、制御された資産となる。すべての活動は、評判の良い英国のベンダーが作成した正規に署名されたソフトウェアから発生しているように見えるため、従来のウイルス対策ソフトやシグネチャベースの防御では、侵入を検知できないことが多い。
結論:現代の侵入の青写真
VENOMOUS#HELPERは、正規の管理ツールを悪用する傾向が高まっていることを示す好例です。ソーシャルエンジニアリング、信頼されたソフトウェアの悪用、および冗長なアクセスメカニズムを組み合わせることで、この攻撃は永続性、隠蔽性、および運用上の柔軟性を実現しています。この手法は、企業環境における行動監視、ゼロトラスト原則、および正規ツールの使用に対する厳格な監視の必要性を改めて浮き彫りにしています。
